4.批準(zhǔn)監(jiān)督

批準(zhǔn)監(jiān)督包括批準(zhǔn)和持續(xù)監(jiān)督兩部分。

批準(zhǔn)，是指機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定。批準(zhǔn)應(yīng)由機(jī)構(gòu)內(nèi)部或更高層的主管機(jī)構(gòu)的決策層來執(zhí)行。

持續(xù)監(jiān)督，是指檢查機(jī)構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新的安全隱患并影響到信息系統(tǒng)的安全保障級別。監(jiān)督通常由機(jī)構(gòu)內(nèi)部管理層和執(zhí)行層完成，必要時(shí)也可以委托支持層的外部專業(yè)機(jī)構(gòu)提供支持，這主要取決于信息系統(tǒng)的性質(zhì)和機(jī)構(gòu)自身的專業(yè)能力。

對風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理的結(jié)果的批準(zhǔn)和持續(xù)監(jiān)督，不能僅依據(jù)相關(guān)標(biāo)準(zhǔn)進(jìn)行僵化的對比，。而是需要緊緊圍繞信息系統(tǒng)所承載的業(yè)務(wù)，通過對業(yè)務(wù)的重要性和業(yè)務(wù)遭受損失后所帶來的影響來開展相關(guān)工作。批準(zhǔn)通過的依據(jù)（原則）有兩個(gè)，一是信息系統(tǒng)的殘余風(fēng)險(xiǎn)是可

接受的，二是安全措施能夠滿足信息系統(tǒng)當(dāng)前業(yè)務(wù)的安全需求。 批準(zhǔn)監(jiān)督包括批準(zhǔn)申請、批準(zhǔn)處理和持續(xù)監(jiān)督三個(gè)階段。